리버싱 - go 언어 .exe 파일 main 함수 및 print 함수 찾기

 

main 함수 찾은 방법

 

IDA에서 함수 목록을 보니깐 main_main이 그대로 노출되어 있었음

(x64dbg에도 ida처럼 서브루틴을 리스트화하는 기능이 있었으면 좋겠다.. )

 

 

 

x64dbg에서는 함수들을 찾기 어려웠는데 코드를 한줄한줄씩 천천히 실행을 하면 스레드 문제인지 자꾸 예외 오류가 뜬다.. 

(찾아보니깐 SEH: Structured Exception Handling라는 것 같다. 주로 잘못된 메모리를 참조하는 경우 발생)

 

Exception 0x80000004 0x0 0x0 0x623c1d
PC=0x623c1d

runtime.mstart0()
        C:/Program Files/Go/src/runtime/proc.go:1553 +0x5d fp=0x74521ffb38 sp=0x74521ffb10 pc=0x623c1d
runtime.mstart()
        C:/Program Files/Go/src/runtime/asm_amd64.s:394 +0x5 fp=0x74521ffb40 sp=0x74521ffb38 pc=0x6446a5

goroutine 1 [running]:
        goroutine running on other thread; stack unavailable

goroutine 2 [force gc (idle)]:
runtime.gopark(0x0?, 0x0?, 0x0?, 0x0?, 0x0?)
        C:/Program Files/Go/src/runtime/proc.go:398 +0xce fp=0xc000043fa8 sp=0xc000043f88 pc=0x62162e
Test
runtime.goparkunlock(...)
        C:/Program Files/Go/src/runtime/proc.go:404
runtime.forcegchelper()
        C:/Program Files/Go/src/runtime/proc.go:322 +0xb8 fp=0xc000043fe0 sp=0xc000043fa8 pc=0x6214b8
runtime.goexit()
        C:/Program Files/Go/src/runtime/asm_amd64.s:1650 +0x1 fp=0xc000043fe8 sp=0xc000043fe0 pc=0x646741
created by runtime.init.6 in goroutine 1
        C:/Program Files/Go/src/runtime/proc.go:310 +0x1a

goroutine 3 [GC sweep wait]:
runtime.gopark(0x0?, 0x0?, 0x0?, 0x0?, 0x0?)
        C:/Program Files/Go/src/runtime/proc.go:398 +0xce fp=0xc000045f78 sp=0xc000045f58 pc=0x62162e
runtime.goparkunlock(...)
        C:/Program Files/Go/src/runtime/proc.go:404
runtime.bgsweep(0x0?)
        C:/Program Files/Go/src/runtime/mgcsweep.go:280 +0x94 fp=0xc000045fc8 sp=0xc000045f78 pc=0x60d1f4
runtime.gcenable.func1()
        C:/Program Files/Go/src/runtime/mgc.go:200 +0x25 fp=0xc000045fe0 sp=0xc000045fc8 pc=0x602585
runtime.goexit()
        C:/Program Files/Go/src/runtime/asm_amd64.s:1650 +0x1 fp=0xc000045fe8 sp=0xc000045fe0 pc=0x646741
created by runtime.gcenable in goroutine 1
        C:/Program Files/Go/src/runtime/mgc.go:200 +0x66

goroutine 4 [GC scavenge wait]:
runtime.gopark(0xc000018070?, 0x672118?, 0x1?, 0x0?, 0xc000040b60?)
        C:/Program Files/Go/src/runtime/proc.go:398 +0xce fp=0xc000055f70 sp=0xc000055f50 pc=0x62162e
runtime.goparkunlock(...)
        C:/Program Files/Go/src/runtime/proc.go:404
runtime.(*scavengerState).park(0x6bf7c0)
        C:/Program Files/Go/src/runtime/mgcscavenge.go:425 +0x49 fp=0xc000055fa0 sp=0xc000055f70 pc=0x60aac9
runtime.bgscavenge(0x0?)
        C:/Program Files/Go/src/runtime/mgcscavenge.go:653 +0x3c fp=0xc000055fc8 sp=0xc000055fa0 pc=0x60b05c
runtime.gcenable.func2()
        C:/Program Files/Go/src/runtime/mgc.go:201 +0x25 fp=0xc000055fe0 sp=0xc000055fc8 pc=0x602525
runtime.goexit()
        C:/Program Files/Go/src/runtime/asm_amd64.s:1650 +0x1 fp=0xc000055fe8 sp=0xc000055fe0 pc=0x646741
created by runtime.gcenable in goroutine 1
        C:/Program Files/Go/src/runtime/mgc.go:201 +0xa5
rax     0x74521f0ee0
rbx     0x0
rcx     0xc000040d00
rdi     0xc00004cc58
rsi     0x0
rbp     0x74521ffb28
rsp     0x74521ffb10
r8      0xc00004cc00
r9      0x648160
r10     0x0
r11     0x0
r12     0x0
r13     0x0
r14     0xc000040d00
r15     0x0
rip     0x623c1d
rflags  0x202
cs      0x33
fs      0x53
gs      0x2b

 

 

 

예외를 발생시킬 경우에는 이렇게 ntdll.dll를 불러서 예외를 처리했다. 

 

 

 

 

아무튼 ida로 main 함수 주소(.text:000000000064BBE0)를 찾아서 x64dbg로 이동한 다음 레이블을 추가해 주었다. 

레이블을 추가하면 call test.654330를 call <test.main 함수> 처럼 분석하기 편하도록 바꿀 수 있다. 

 

print 함수 찾기 및 출력 문자 변경

 

이제 main 함수를 찾았다면 print 함수를 찾는 건 식은 죽 먹기다. 

 

 

print를 출력하기 전에는 몇 가지 인자들을 전달한다. 

첫 번째는 문자 데이터(Test\n), 두 번째는 문자의 크기(5)

 

문자를 "Hello Reversing!\n"으로 바꾸면 아래처럼 변경을 한다. 

 

크기는 0x11(17)로 바꾸고 문자 끝에는 0x0A(\n)을 삽입한다. 

 

다시 코드를 실행시키니 값이 제대로 바뀌는 것을 확인할 수 있다. 

 

 

메모리에 가장 끝에 빈 공간(Null Padding)에 임의의 문자를 추가하고 해당 주소를 불러오는 방식으로도 출력이 가능하다.